Certains pirates de voler le cookie de l'utilisateur et se connecter avec son nom sur un site web?

La lecture de cette question

les différents utilisateurs à obtenir la même valeur de cookie dans aspxanonymous

et de trouver une solution, je commence à penser, si c'est possible pour quelqu'un de vraiment voler le cookie d'une certaine façon, et puis le placer sur son navigateur et connectez-vous permet de dire que l'administrateur de.

Savez-vous comment la forme d'authentification peut garantir que, même si le cookie est stoled, le hacker ne pas se connecter à l'aide ?

Ou connaissez-vous d'autres automatique mécanisme de défense ?

Je vous remercie à l'avance.

InformationsquelleAutor Aristos | 2010-03-23
  1. 25

    Est-il possible de voler un cookie et
    authentifier en tant qu'administrateur?

    Oui c'est possible, si les Formes Auth cookie n'est pas chiffré, quelqu'un pourrait pirater le témoin de leur donner des privilèges élevés ou si SSL n'est pas besoin, copie de quelqu'un d'une autre personne cookie. Cependant, il ya des étapes que vous pouvez prendre pour atténuer ces risques:

    Sur le système.web/authentification/les formes de l'élément:

    1. requireSSL=true. Cela nécessite que le cookie ne sera transmis via le protocole SSL
    2. slidingExpiration=false. Lorsque la valeur est true, l'expiration d'un billet peut être réactivé.
    3. cookieless=false. Ne pas utiliser cookieless sessions dans un environnement où êtes-vous essayer de mettre en œuvre la sécurité.
    4. enableCrossAppRedirects=false. Si la valeur est false, le traitement des cookies dans les applications n'est pas autorisé.
    5. protection=tous. Crypte et hache les Formes Auth cookie à l'aide de la clé de l'ordinateur spécifié dans la machine.config ou web.config. Cette fonctionnalité permettrait d'empêcher quelqu'un de piratage, de leur propre cookie que ce paramètre indique au système pour générer une signature du témoin et sur chaque demande d'authentification, de comparer la signature avec le passé cookie.

    Si vous le vouliez, vous pourriez ajouter un petit peu de protection en mettant certains de tri des informations d'authentification dans la Session comme une table de hachage de l'utilisateur nom d'utilisateur (Jamais le nom d'utilisateur en texte clair, ni leur mot de passe). Cela nécessiterait l'attaquant de voler à la fois le cookie de Session et les Formulaires d'Authentification par cookie.

    • Le requireSSL=vrai, c'est quelque chose que j'ai manqué. Je pense que c'est l'un des plus importants.
    InformationsquelleAutor Thomas
  2. 12

    Le scénario où un cookie peut être volé qui se passe dans un lieu public sans fil de l'environnement. Alors que vous ou moi n'auraient jamais fonctionner dans une telle configuration, il peut être impossible de prévenir vos clients de le faire.

    Si l'attaquant sait ce qu'site sécurisé vous êtes connecté, l'idée est que votre navigateur peut être trompé en postant une non-secure version de la même url. À ce moment, le cookie est compromise.

    C'est pourquoi en plus de httpOnlyCookies vous aurez envie de spécifier requireSSL="true"

    <httpCookies httpOnlyCookies="true" requireSSL="true" />

    Je suis en désaccord avec La Tour du commentaire, que je trouve injuste;

    @Aristos j'ai mis à jour ma réponse. Mais pour être honnête, si votre utilisation d'une plateforme de développement Microsoft votre demande sera par nature précaire. – La Tour de 22 minutes ago

    De sécurité n'arrive pas par accident et qu'il n'arrive pas, tout droit sorti de la boîte", au moins pas dans mon expérience. Rien n'est sûr jusqu'à ce qu'il est destiné à l'être, quelle que soit la plateforme ou les outils.

    InformationsquelleAutor
  3. 3

    Dans beaucoup de cas, les cookies utilisés à des fins d'authentification sont jumelés avec une session sur le serveur, il n'est donc pas possible de prendre un cookie et être "connecté", cependant, vous pourriez vouloir avoir une lecture sur le cross site request forgeries, qui ne permettent qu'un mécanisme de ce cookie est utilisé à des fins malveillantes:

    http://en.wikipedia.org/wiki/Cross-site_request_forgery

    • La session est également relié avec le cookie. Un ou deux cookies, permettre à l'utilisateur de la session et de la connexion.
    InformationsquelleAutor Paddy
  4. 2

    Il existe de nombreuses façons qu'un id de session peut être divulgué à un attaquant. XSS est l'attaque la plus courante pour pirater un ID de Session et vous devriez test de vulnérabilités XSS dans votre application. . Une méthode commune de l'amélioration de la force d'une séance est de vérifier l'adresse IP. Lorsque l'utilisateur se connecte, enregistrement de l'adresse ip. Vérifiez l'adresse IP de chaque demande, si l'adresse IP change, alors c'est probablement un détournés de la session. Cette security mesure pourrait empêcher les demandes légitimes, mais qui est très peu probable.

    Ne pas vérifier le X-Forwarded-For User-Agent, ses trivial pour un attaquant de modifier ces valeurs.

    Je recommande également l'activation httpOnlyCookies dans votre site web.fichier de configuration:

    <httpCookies httpOnlyCookies="true"/>

    Cela rend plus difficile pour un attaquant de détourner une session avec le javascript, mais sa reste possible.

    • Merci pour les informations, et pourtant je me connecte, vérifier, et de vérifier automatiquement l'ip à chaque connexion et d'agir selon certaines règles, mais j'ai besoin de réfléchir à nouveau ma stratégie sur que. Comment jamais, je ne sais pas ce asp.net pour assurer la sécurité.
    • j'ai mis à jour ma réponse. Mais pour être honnête, si votre utilisation d'une plateforme de développement Microsoft votre demande sera par nature précaire.
    • Le problème avec l'adresse IP de la vérification, c'est que beaucoup de gens sont derrière les équilibreurs de charge de ces jours, ce qui signifie que l'adresse IP n'est pas stable pour les utilisateurs.
    • Tour, pouvez-vous fournir des données réelles à l'appui de votre (vague) déclaration?
    • Si vous triez toutes les vulnérabilités par gravité, vous verrez que Microsoft est un chef de file kb.cert.org/vuls/bymetric
    • Si la société avec la plupart des produits logiciels a le plus grand nombre de vulnérabilités ? Je pense que ce serait simplement du bon sens. Si vous suivez cette logique à l'extrême, la plus obscure de la plateforme doit être le plus sécurisé.. la sécurité par l'obscurité ? Pas une bonne façon de faire une plate-forme de décision.
    • Avez-vous essayé d'écrire un exploit pour une application Windows? Avez-vous essayé d'écrire un exploit qui fonctionne avec SELinux, tel qu'un défaut de Fedora?
    • Tour: Il me semble typique de vulnérabilités web, tels que XSS sont pour la plupart indépendant de la plateforme.
    • Vous pouvez également ajouter quelques détails sur XSRF/CSRF trop. Une telle attaque ne nécessite pas l'authentification par cookie le vol de sorte qu'il peut être utile de mentionner ces trop. Pour ajouter l'adresse IP de vérification n'est pas plus sécurisé que le user-agent ou autre chose dans le envoyée en-têtes HTTP.
    • Cam adresse ip de la vérification ne arrêter la session d'usurpation d'identité, où que la vérification de quoi que ce soit dans l'en-tête http n'arrête pas de quoi que ce soit car ils sont attaquant variables contrôlées. CSRF n'entrent en jeu, mais il n'a pas demandé à ce sujet et je n'ai pas la case à cocher, donc oah bien. Sur une note de côté, vous pouvez vérifier le referer pour arrêter CSRF.
    • J'ai peur que l'adresse ip de la vérification ne cessez pas de cookie d'authentification de vol, il est trivial d'usurper l'adresse ip et en outre, comme cela a été souligné par d'autres commentateurs, l'adresse ip peut changer en cours de session pour les utilisateurs avec certains fournisseurs. L'en-tête referer est encore facile d'usurper l'identité, et non tous les navigateurs envoyer/ il est facile pour les utilisateurs de désactiver l'envoi de l'en-tête referer.
    • Cam une socket tcp ne peut pas être usurpée sur l'internet ouvert en raison de la three way handshake. Je vous recommande de faire quelques recherches avant de poster sur le [sécurité] de la balise. Faire une erreur ici signifie que quelqu'un va se piraté. Je suis bien conscient des équilibreurs de charge et de leur incidence sur les sortants de l'adresse ip et je ne pas faire cela sur mes systèmes.
    • Un plus grand nombre de scientifiques de l'étude serait de normaliser le nombre de ces exploits contre le nombre d'utilisateurs. MS est maudit avec la popularité. Quand le Mac est sur la frange, c'était sûr. Maintenant qu'il est de plus en plus populaire, c'est moins sûr. Donc, il va.
    • J'ai lu Russ Cam commentaire, et son point de pas que les IP peuvent être falsifiés, mais, plutôt, qu'une adresse IP peut changer dans le milieu d'une séance d'innocent des raisons qui ne sont pas une indication de la mystification. Je vous recommande fortement de lire plus attentivement avant de répondre, surtout quand on prend tel un ton négatif. Je vous remercie.
    • Sudit en fait, il a supprimé le commentaire. Peut-être que vous ne devriez pas me suivre. MS a eu mieux, mais, historiquement, ils ont été les pires. Ils ont quitté l'exécution de code à distance des vulnérabilités ouvrir dans IE depuis des ANNÉES. Regardez en haut de la faire Glisser et Déposer des vuln.
    • J'utilise Chrome pour une raison. Mais ne vous flattez: vous n'êtes pas le seul qui suit la [sécurité] de la balise.
    • Sudit commentaires trois dos-à-dos? Bien pour lire mes messages et à y répondre, à son autre chose à se moquer de chacun de mes post.
    • Je ne peux pas l'aider si vous vous sentez que mes commentaires sont ridicule, mais je ferai remarquer que j'ai upvoted vous dans les endroits où vous avez été correct et n'ont pas downvoted vous.
    • Sudit bien merci, il y a des gens qui me donnent -1 est parce que je suis un trou du cul. Je ne suis pas trop gêné par elle. J'aime aider les gens et j'aime les remerciements que je reçois de personnes sur ALORS. Je suis heureux de répondre à toutes les questions que vous pourriez avoir ou de réfuter un contre-argument.
    • Je promets d'essayer d'être plus patient avec vous, demandant seulement que vous essayez de la même.
    • Sudit je suis souvent très durs, avec des gens quand il s'agit de questions de sécurité. Il y a beaucoup d'incompréhension parce que c'est un sujet difficile, et une erreur signifie que vous pouvez être piraté. Jamais le moins, c'est un cadre académique, et nous devons être respectueux de nos pairs. Je suis désolé si je t'ai offensé.
    • Rien à se reprocher. Vous êtes entièrement libre d'être en désaccord avec moi. Tout ce que je demande est que vous faites un effort honnête pour expliquer l'origine de ce désaccord, de sorte qu'il ne devienne pas personnelle.

    InformationsquelleAutor rook
  5. 1

    Je ne connais pas les spécificités du cookie en question, mais il est généralement une mauvaise pratique de stocker à la fois le nom d'utilisateur et mot de passe dans un cookie utilisateur. En général, vous voulez seulement de stocker le nom d'utilisateur dans le cookie, le long de avec d'autres des renseignements non sensibles. De cette façon, l'utilisateur est invité à fournir leur mot de passe lors de la connexion.

    • quel est le problème avec cette réponse?
    • la manière dont un cookie peut être volé et utilisé n'a rien à voir avec l'enregistrement d'un nom d'utilisateur et le mot de passe dans le cookie. (Je ne suis pas le downvoter).
    • Vous ne devez pas stocker le nom d'utilisateur et le mot de passe dans le cookie. Le plus sûr et le sanest façon d'utiliser des cookies est de n'insérer qu'une seule valeur dans le cookie, par exemple, la valeur de hachage de le bon nom d'utilisateur, l'adresse IP de la connexion a été effectuée et pour certains de serveur-côté secret de la valeur. Stocker ce code de hachage dans votre base de données dans une ligne avec le nom de l'utilisateur, et l'utiliser pour récupérer les données correctes. Vous devriez toujours supposer que l'utilisateur ou quelqu'un d'autre VA altérer la valeur du cookie si vous les laissez faire, ils doivent être cryptographique sécurisé.
    • J'essaie seulement de simplement démontrer que le stockage du mot de passe dans le cookie n'était pas une bonne idée en premier lieu. Je suis d'accord avec le Thon, les Poissons qu'un hash serait une bonne idée pour stocker le nom d'utilisateur, mais j'ai essayé de transmettre l'idée de simplement les mettre sur la bonne voie,
    • Je place +1 tout simplement parce que même si les informations de connexion sur le biscuit sont cryptées, le mot de passe est inconnu, même pour le système (hash vérifié), et rien d'indiqué sur les cookies, comment jamais, n'est pas mauvais de dire que, encore et encore.
    • En fait, la façon dont ASP.NET le fait, c'est même plus sûr: il stocke une valeur arbitraire qui ne peut pas être facilement deviné. Cette valeur est utilisée comme une recherche pour récupérer la session dictionnaire sur le côté serveur, ce qui est ce qui contient des informations sur l'utilisateur (mais jamais leur mot de passe).

    InformationsquelleAutor Brian Scott
  6. 1

    Je suis en train de travailler sur ce sujet, et je suis venue avec une idée, que je ne suis pas sûr si c'est sûr à 100%, mais c'est une idée.

    Mon idée est que chaque utilisateur doit passer de la page de connexion.

    Si quelqu'un a volé le témoin, est de ne pas passer à la page de connexion, mais c'est d'aller direct à l'intérieur pour le reste des pages. Il ne peut pas passer à la page de connexion, parce que ne sais pas vraiment de mot de passe, donc si il passe il de toute façon ne.

    Donc je place un supplément de valeur de session, l'utilisateur ont été passer avec succès à la page de connexion.
    Maintenant à l'intérieur de chaque page essentielle, je vérifie que le surplus de valeur de session et si trouvé ça nul, j'ai login et demander à nouveau le mot de passe.

    Maintenant, je ne sais pas, peut-être que tout ce que fait tous les prêts par microsoft, besoin de vérifier plus de.

    Pour vérifier cette idée, j'utilise cette fonction que direct font de l'utilisateur connecté. 

    FormsAuthentication.SetAuthCookie("UserName", false);

    Mon deuxième de sécurité que j'ai tout prêt fixer et d'utiliser, c'est que j'ai vérifier les adresses ip différentes et ou autre cookie à partir de la même utilisateur connecté. J'ai fait beaucoup penser à cela, de nombreux contrôles (si c'est derrière un proxy, si c'est à partir de différents pays, ce qui est de regarder pour, combien de fois je dois le voir, etc...) mais c'est l'idée générale.

    Cette vidéo montrer exactement ce que je cherche à éviter. En utilisant l'astuce, j'ai à décrire ici, vous ne pouvez pas définir le cookie de connexion uniquement.

    Juste partager mes idées...

    • Pas sûr de comprendre ce que vous obtenez en. Peut-être un problème de langue.
    • Je viens de placer un drapeau sur les données de session (qui sont différentes des données de connexion) que l'utilisateur a été passer la page de connexion.
    • Ok, mais si l'utilisateur se connecte et ensuite leur session est détourné, le drapeau sera déjà défini. Ou ai-je raté quelque chose?
    • il doit détourner les 2 biscuits différents, l'un pour la connexion, l'un pour la session. L'un est de transférer uniquement à l'aide de ssl. Je pense que c'est plus difficile à pirater 2 cookies (avec les différentes façon de coder/décoder/variables) que dans une. sa façon de se connecter à ce cookies ensemble. Il ne peut pas se connecter et de détourner la session, car le journal de garder l'essentiel de l'information des autorisations. C'est pour le cas où quelqu'un essaie de la faire craquer les cookies, ou de renifler eux.
    • ce vide youtube.com/watch?v=yghiC_U2RaM c'est montrer ce que j'essaie d'éviter.
    InformationsquelleAutor Aristos